【文章內(nèi)容簡介】 后也需要被組裝還原。包過濾防火墻設計主要依據(jù)這個原理，從而進行數(shù)據(jù)包訪問控制。 數(shù)據(jù)包過濾產(chǎn)品是防火墻的主要類型之一。在網(wǎng)絡層中，包過濾對數(shù)據(jù)包的通過有所選擇，根據(jù)系統(tǒng)預先設置好的 過濾邏輯 ,檢查每個數(shù)據(jù)流中個的數(shù)據(jù)包 ,依據(jù)數(shù)據(jù)包的源地址、目的地址和端口用于確定是否允許此類數(shù)據(jù)包通過。在互聯(lián)網(wǎng)這樣一個信息包交換網(wǎng)絡上 ,往來的所有信息都被分為許多長度一定的信息包 ,這些信息包包含了發(fā)送方和接收方各自的 IP 地址。把這些包送到互聯(lián)網(wǎng)上時 ,路由器會讀取接收方的 IP 并選擇一條發(fā)送物理鏈路 ,信息包可能會從不同的路線到達目的地 ,當所有的包到達目的地后會被再次組裝還原。包過濾防火墻將所有包里的 IP 地址、通過信息檢查一遍 ,并根據(jù)由系統(tǒng)管理員設定的過濾規(guī)則過濾信息包。如果一個 IP 地址被防火墻設定為危險的話， ,從這個地址的所有信息將被防火墻阻止。這種防火墻的用法很多 ,比如包過濾防火墻可以被國家相關部門用來禁止國內(nèi)用戶訪問 “ 有問題 ” 或違反我國相關規(guī)定的外國網(wǎng)站。 數(shù)據(jù)包過濾防火墻通過讀取數(shù)據(jù)包 ,從一些相關信息來判斷數(shù)據(jù)的可信度和安全性 ,然后以判定結果為依據(jù) ,進行數(shù)據(jù)處理。一旦數(shù)據(jù)包得不到防火墻的信任 ,便無法進入計算機操作系統(tǒng)。該防火墻技術具有很強的實用性 ,在一般網(wǎng)絡環(huán)境下也可以保護計算機網(wǎng)絡的安全 ,操作方便 ,成本低。作為防火墻中最基本的類型，它在實際應用中得到了很大的推廣。然而 ,因為該技術是基于一些基本的信息來確 定其安全性 ,對于某些應用程序和郵件病毒不能起到有效的抵制作用。一些數(shù)據(jù)為騙過防火墻的數(shù)據(jù)包過濾，通過偽造 IP 地址的方法 ,然后施行攻擊和破壞。這在一定程度上可以對計算機網(wǎng)絡安全構成威脅。 包過濾是一種常見的、有效的和廉價安全手段。因為它并不是為每一個具體的網(wǎng)絡服務采用特殊的處理方式，適用于所有網(wǎng)絡服務 ,所以常見；因為它可以在很大程度上滿足大多數(shù)企業(yè)的安全要求，所以有效；因為大多數(shù)路由器都具有包過濾功能 ,這類防火墻大多數(shù)由路由器集成，所以廉價。 包過濾防火墻技術可以發(fā)揮一定的安全保護作用 ,也有很多優(yōu)點 ,但也有很大的缺陷 ,無法提供比較高的安全性。因此 ,在實際應用中 ,包過濾技術很少作為一個單獨的安全解決方案 ,它通常跟其他防火墻技術組合在一起 ,形成一個防火墻系統(tǒng)。 9 代理服務器防火墻 Proxy Server 是代理服務器的英文全稱 ,它的功能是代理網(wǎng)絡用戶獲取網(wǎng)絡信息。形象的說 :它是網(wǎng)絡信息的驛站。一般來說 ,我們使用一個網(wǎng)絡瀏覽器來直接連接到其他 Inter 站點取得網(wǎng)絡信息 ,必須發(fā)送 Request 信號得到回答 ,然后對方再以 bit 方式把信 息傳送回來。代理服務器是一個 web 服務器和瀏覽器之間的服務器 ,因為有了它，瀏覽器是向代理服務器發(fā)送請求，先將 Request 信號送到代理服務器，瀏覽器所需要的信息由代理服務器取回，并傳送給發(fā)送請求的瀏覽器。 此外 ,大多數(shù)代理服務器都有緩沖的功能 ,這好像一個大 Cache,它有大量的存儲空間 ,它會不斷地將新數(shù)據(jù)存儲在機器的內(nèi)存 ,如果瀏覽器請求數(shù)據(jù)的本地存儲已經(jīng)存在 ,而且它是最新的 ,那么它不是重新從 Web 服務器獲取數(shù)據(jù) ,而是直接將存儲器上的數(shù)據(jù)傳輸給用戶的瀏覽器， ,所以你可以顯著提高瀏覽速度和效率。更重要的是 :代理 服務器是 Inter 鏈路級網(wǎng)關提供了一種重要的安全功能 ,其工作主要是在開放系統(tǒng)互連。 代理型防火墻，就是代理服務器 ,它會回應輸入封包 ,屏蔽內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。因為代理網(wǎng)絡位于服務器和客戶機之間 ,這時對客戶機來說，代理防火墻是一個服務機器 ,它增強了外部網(wǎng)絡竄改內(nèi)網(wǎng)的阻力 ,即使誤用一個內(nèi)部系統(tǒng)，也不會導致改善計算機安全漏洞在防火墻之外入侵。它極大的網(wǎng)絡安全性 ,而且正向應用層發(fā)展 ,可以針對應用層的病毒入侵實施保護措施。這種新型的代理防火墻技術的缺點是增加投資的成本 ,和對管理員的專業(yè)技能和綜合素質(zhì)有較 高的要求 ,給網(wǎng)絡管理帶來了一定的壓力。 從本質(zhì)上講 ,代理是在互聯(lián)網(wǎng)網(wǎng)關防火墻設置特定功能的應用層代碼 ,代理的主要功能是監(jiān)控數(shù)據(jù)流 ,過濾數(shù)據(jù)流、記錄數(shù)據(jù)流和報告數(shù)據(jù)流等。在應用層，代理的任務主要是控制應用層服務 ,在內(nèi)部網(wǎng)絡向外部網(wǎng)絡申請服務是進行轉(zhuǎn)接 ,對內(nèi)網(wǎng)來說，唯一被接受的服務請求只有代理提出的 ,將外部網(wǎng)絡其他接點發(fā)出的請求直接拒絕。代理的工作原理并不復雜 ,用戶與代理服務器之間的連接建立后 ,向代理發(fā)送目的網(wǎng)站信息 ,如果請求是合法的 ,代理將和目的站點建立連接 ,然后兩者之間的數(shù)據(jù)傳輸轉(zhuǎn)發(fā)。 代理的主要特點是狀態(tài)性 ,可以提供相關的狀態(tài)和傳輸信息 ,審計 ,此外 ,內(nèi)部 IP 地址也可以隱藏 ,和包過濾路由器相比 ,安全策略的實施更嚴格。所有特定的應用程序有獨家代理模塊 ,對管理員來說 ,代理的選擇可以從實際需求出發(fā)來安裝需要的代理。代理型防火墻主要集中作用在應用層 ,是建立在網(wǎng)絡應用層上協(xié)議過濾和轉(zhuǎn)發(fā)功能 ,通過防火墻檢查發(fā)送和接收的數(shù)據(jù)包 ,并通過防火墻復制給傳輸?shù)臄?shù)據(jù)包 ,層交換技術能識別數(shù)據(jù)幀攜帶的 MAC 地址信息 ,并以此為基礎對數(shù)據(jù)進行轉(zhuǎn)發(fā) ,而且通過這些 MAC 地址對應的計算機網(wǎng)絡端口 ,可以把局域網(wǎng) 10 的用戶記錄在內(nèi)部的 MAC 地址表中。 代理防火墻的最突出特點是 ,將防火墻網(wǎng)絡通信鏈路可以分為兩個部分。應用層在防火墻內(nèi)部和外部之間的 “ 鏈接 ” 計算機系統(tǒng)包含兩個 “ 鏈接 ” 在代理服務器上 ,外部計算機網(wǎng)絡鏈接只能達到代理服務器 ,它起到隔離在防火墻內(nèi)部和外部計算機系統(tǒng)的作用。除此之外 ,代理防火墻發(fā)現(xiàn)被攻擊的跡象時 ,將通知網(wǎng)絡管理員 ,維護攻擊現(xiàn)場。也就是說 ,在代理服務中 ,內(nèi)部每個站點之間的鏈接被切斷了 ,代理服務器在幕后操縱各個站點之間的連接。 狀態(tài)檢測防火墻 狀態(tài)包檢測防火墻采用狀態(tài)包過濾技術 ,是傳統(tǒng)包過濾的 功能擴展。狀態(tài)檢測防火墻在網(wǎng)絡層中有個檢查引擎截取數(shù)據(jù)包并提取應用層狀態(tài)相關的信息 ,并在此基礎上決定接受或拒絕連接。這種技術提供了高安全性的解決方案 ,同時具有良好的適應性和可擴展性。狀態(tài)檢測防火墻通常也包括一些代理的服務 ,他們提供額外的支持應用程序數(shù)據(jù)的具體內(nèi)容。狀態(tài)檢測技術是最適合提供 UDP 協(xié)議有限的支持。它將所有 UDP 數(shù)據(jù)包通過防火墻作為一個虛擬連接 ,當反向應答分組送達時 ,被認為是一個虛擬的連接已經(jīng)建立。狀態(tài)檢測防火墻彌補了包過濾防火墻和代理服務器的缺陷 ,不僅檢測源地址和目的地址 ,而且不需要每一個訪問應 用程序都有代理 狀態(tài)檢測防火墻是第三代防火墻技術 ,可以對網(wǎng)絡通信的各個層進行檢測。跟包過濾技術一樣 ,它可以通過 IP 地址和端口號和 TCP 檢測標簽 ,對發(fā)送和接收的數(shù)據(jù)包進行過濾。它允許受信任的客戶端和不可信主機直接建立連接 ,不依賴于應用層相關的代理 ,而是依靠一種算法來識別應用層的數(shù)據(jù) ,這些算法通過已知的合法包模式比較數(shù)據(jù)包 ,所以理論上可以比應用級代理過濾數(shù)據(jù)包更有效。狀態(tài)監(jiān)視器監(jiān)視模塊支持多種協(xié)議和應用程序 ,應用程序和服務可以很容易地擴大。此外 ,它還可以監(jiān)視 RPC 和 UDP 端口信息 ,但是包過濾和代理不支持這種類型的端口。通過這種方式 ,對各層監(jiān)控，狀態(tài)監(jiān)控實現(xiàn)網(wǎng)絡安全的目標。目前多使用狀態(tài)監(jiān)測防火墻 ,它對用戶都是透明的 ,在 OSI 最高層對數(shù)據(jù)進行加密 ,而不需要修改客戶端程序 ,也不需要對每一個需要在防火墻上運行的服務增加一個附加的代理。 監(jiān)測型防火墻可以主動監(jiān)測網(wǎng)絡通信數(shù)據(jù) ,在很大程度上改善了計算機網(wǎng)絡的安全情況。過濾破壞網(wǎng)絡環(huán)境和網(wǎng)絡操作的信息和數(shù)據(jù)是電腦防火墻最原始的設計理念 ,但監(jiān)測型防火墻處于主動地位來監(jiān)測信息 ,它有一個非常突出的優(yōu)點 ,有很強的保證計算機安全性的能力。但是 ,該類型防火墻的缺點之一是管理及投資成本 ,因 此 ,目前這種防火墻技術沒有得到普及。在實踐中 ,可以根據(jù)具體的網(wǎng) 11 絡環(huán)境 ,選擇相符的監(jiān)測技術 ,這樣我們可以在提高計算機網(wǎng)絡安全的基礎上 ,降低投資成本。 防火墻技術的優(yōu)缺點 以及 局限性 幾種防火墻的技術比較 （ 1）包過濾防火墻過濾數(shù)據(jù)包本身 ,而不是一個針對特定的網(wǎng)絡服務 ,因此 ,包過濾防火墻可以適應所有的網(wǎng)絡。和包過濾防火墻主要是通過路由器的數(shù)據(jù)包檢測 ,大多數(shù)路由器都有數(shù)據(jù)包監(jiān)測的作用 ,因此 ,包過濾防火墻價格較低 ,性能高 ,處理速度快。但是 ,這種防火墻安全性不高 ,難以識別用戶的身份。 包過濾防火墻 ,一般是安裝在網(wǎng)絡層的路由器上 ,可以根據(jù)由網(wǎng)絡管理員設置的訪問控制列表 ,有效篩查通過防火墻所有傳送信息的 IP 源地址、目的地址和封裝協(xié)議和端口號。但由于防火墻無法確定數(shù)據(jù)包的源 ,目標和端口等 ,對于惡意JAVA 小程序病毒 ,電子郵件病毒和其他基于應用層的惡意入侵 ,不能識別 ,威脅到網(wǎng)絡的安全。 (2)代理防火墻是一種工作在應用程序級別的防火墻 ,能監(jiān)控網(wǎng)絡連接的內(nèi)容，可以在某種程度上打破內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接 ,使網(wǎng)絡活動更安全 ,但它在監(jiān)測網(wǎng)絡中較深內(nèi)容的時候速度減慢 ,在數(shù)據(jù)吞吐量大市容易出問題，因此它不適合高速網(wǎng)絡。 代理服務器防火墻 ,也就是代理服務器，通常坐落在用戶終端和服務器之間可以完全阻止兩者之間的數(shù)據(jù)交換。包括服務端程序和客戶端程序。相對于包過濾防火墻，代理服務器防火墻可以在應用層工作 ,而且不提供直接的外部網(wǎng)絡和內(nèi)部服務器的數(shù)據(jù)通道 ,安全性高。 （ 3）狀態(tài)監(jiān)測防火墻可以通過測試模塊提取和動態(tài)監(jiān)測數(shù)據(jù)的保存 ,方便日后制定安全決策。在安全規(guī)則和網(wǎng)絡配置的基礎上，該類型防火墻主要是提取分析用戶的訪問請求的數(shù)據(jù)，及時決定接受 ,拒絕 ,身份驗證或加密等決策。當發(fā)現(xiàn)違反網(wǎng)絡配置和安全規(guī)定的訪問數(shù)據(jù)時 ,發(fā)出安全警 報 ,同時防火墻拒絕訪問 ,向系統(tǒng)管理器報警。但是狀態(tài)監(jiān)測防火墻配置更為復雜 ,會影響網(wǎng)絡信息傳輸速度的提高。在目前的防火墻市場 ,一般采用采用應用網(wǎng)關集成包過濾技術。 12 防火墻部署策略實例分析 網(wǎng)絡安全策略 的基本思想 所謂的計算機網(wǎng)絡安全策略主要指的是在 具體 的計算網(wǎng)絡環(huán)境中， 以確保計算機網(wǎng)絡安全保護的水平需要遵守的規(guī)則。 由于計算機網(wǎng)絡系統(tǒng) 可 隨時遭受到各種攻擊， 所以 ， 必須提高網(wǎng)絡安全 策略 ， 如果采用相對單一的安全策略 ， 就不能起到很好保護計算機網(wǎng)絡的作用 ， 所以 ， 常 常需 要 配合使用多種安全策略。 數(shù)據(jù)加密技術 在計算機網(wǎng)絡系統(tǒng)中，數(shù)據(jù)加密技術可以 更 有效地 保護網(wǎng)絡信息和 數(shù)據(jù)，進行數(shù)據(jù)的加密處理主要是為了防止計算機網(wǎng)絡數(shù)據(jù)遭到竊取、篡改及破壞。 一般來說 ，使用 更多 的數(shù)據(jù)加密技術主要包括鏈路加密、節(jié)點加密、端端加密以及混合加密等方式。 計算機網(wǎng)絡存取控制策略 網(wǎng)絡 存取控制策略 可以識別計算機網(wǎng)絡用戶的身份 ， 防止 非法用戶 的 入侵，威脅網(wǎng)絡信息和數(shù)據(jù) 。目前，網(wǎng)絡存取控制方法 比 較多，使用 比 較多的技術包括如下幾種： （ 1）身份識別技術， 這是 一個 計算機網(wǎng)絡安全系統(tǒng)中 的 基本 技術 特征外 ，也是 通訊 雙方身份驗證過 程中較為有效的手段，當用戶向系統(tǒng)進行服務請求的發(fā)送過程中，首先 對其身份進行證明，例如，輸入用戶名 和 密碼等。而系統(tǒng)必須具備對用戶身份進行驗證的功能，通過驗證用戶所輸入的信息， 判斷這個輸入是否來自合法用戶 ， 保證合法用戶的使用權益 ； （ 2）數(shù)字簽名技術，它主要指的是 電子形式的簽名， 通過密碼形式來提高計算機網(wǎng)絡系統(tǒng)的安全 。更 為常用的數(shù)字簽名技術包括雙 密匙與單密鑰兩種技術。其中，單密鑰體制所采用的加密及解密密鑰不能 對外公開；而雙密鑰體制是兩個用戶公開登記的密鑰，是對方進行簽名驗證的主要依據(jù)之一，雙方均具有各自的保密密鑰，可對所發(fā)送數(shù)據(jù) 做出 保密； （ 3）存取權限控制技術，它主要控制如下兩點 ： 第 一是 防止 非法用戶入侵 13 系統(tǒng)， 第 二是 防止 合法用戶 非法使用系統(tǒng)的資源 。對于開放的系統(tǒng) 來說 ，必須 對網(wǎng)絡資源 制訂相關的使用規(guī)定 ， 一方面要處理什么類型的用戶可以合法訪問定義哪些資源 ，另一方面， 也處理合法用戶的操作權限定義 。只有把 這兩點 分清楚了，并且規(guī)范權限控制，才能保障計算機網(wǎng)絡的安全 ； （ 4）災難恢復策略，即所謂的備份策略。管理人員必須備份服務器上的有關數(shù)據(jù) ， 備份的 常用 形式有 本機完全備份和網(wǎng)絡備份兩種 形式 。應當不定 期 地進行備份，盡可能 讓它遠離服務器，將它單獨的存儲在獨立的空間，防止因火災和盜竊 等原因?qū)е聰?shù)據(jù)信息丟失。 防火墻 在廣播制播網(wǎng)中的 部署實例 隨著廣播 業(yè)的 快速 發(fā)展，廣播與外界之間的 數(shù)據(jù)交流更加 頻繁， 以避免外界對 安全制播 的干擾 ，引入音頻防火墻 到廣播制播網(wǎng)中就顯得非常 重要。 目前，大部分的 市級廣播電臺音頻制播網(wǎng)都是 單獨的內(nèi)部網(wǎng)絡 ， 與廣播電臺的辦公網(wǎng)、廣播門戶網(wǎng) 等是完全物理隔離，目的是為了避免 外界 對安全制播干擾影響。廣播電視臺不允許在音頻制播網(wǎng)內(nèi)使用 U 盤、移動硬盤等外接設備的，與音頻制播網(wǎng)的文件交換由技術中心指派專人使用專門的設備 進行 拷貝，這種做法不僅延長了編輯記者使用外采音頻編輯節(jié)目的時間，而且阻礙了廣播電臺與外界之間大量的音頻 數(shù)據(jù) 交換。